卫健委明确健康医疗大数据需境内存储-安杰律师事务所.PDF

卫健委明确：健康医疗大数据需境内存储 ——简评《国家健康医疗大数据标准、安全和服务管理办法（试行）》 安杰律师事务所 杨洪泉 陈扬 2018 年9 月15 日，国家卫生健康委员会（“卫健委”）在其官网发布了《国家健 康医疗大数据标准、安全和服务管理办法（试行）》（“ 《管理办法》”）。《管理办 法》已于2018 年7 月12 日生效并施行。《管理办法》将对医疗卫生行业数据和网络安 全实践产生深远的影响。本文对《管理办法》的立法背景和重要内容进行解读，并对医 疗卫生单位和相关企事业单位可能面临的监管趋势进行预判。 一、 立法背景 2016 年颁布的《中华人民共和国网络安全法》（“ 《网络安全法》”）第三十七条 规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信 息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部 门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其 规定。”本条虽然只有寥寥数语，却涵盖了“关键信息基础设施”、“重要数据”、“境 内存储”、“数据出境安全评估”几个重要概念，而由此而引起的数据本地化存储和数 据出境问题已成为企业数据和网络安全合规中最为关注的风险点。 2017 年4 月11 日，国家互联网信息办公室（网信办）公布《个人信息和重要数据 出境安全评估办法（征求意见稿）》（“ 《评估办法》”），将数据出境安全评估的责 任主体由关键信息基础设施运营者扩展至所有网络运营者，并规定了安全评估的适用范 围、评估程序、监管机构、评估内容等基本规则。2017 年5 月27 日，全国信息安全标 准化技术委员会（信安标委）发布《信息安全技术 数据出境安全评估指南（草案）》 （“《评估指南》”），并于同年8 月又发布了《评估指南》第二稿。该《评估指南》 对境内运营、数据出境、重要数据等概念进行了明确，对安全评估予以细化。 2018 年7 月，网信办公布《关键信息基础设施安全保护条例（征求意见稿）》（“CII 条例”），其中规定：“下列单位运行、管理的网络设施和信息系统，一旦遭到破坏、 丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关 键信息基础设施保护范围：政府机关和能源、金融、交通、水利、卫生医疗、教育、社 保、环境保护、公用事业等行业领域的单位……” 1 尽管《评估办法》、《评估指南》和《CII 条例》尚未正式颁布，有关中国关键信息 基础设施及数据出境的法律框架未能得窥全貌，但根据上述几个征求意见稿以及《网络 安全法》的原则性规定不难看出，医疗卫生单位将被纳入“关键信息基础设施运营者” 的范畴进行管理，并将承担数据本地化、数据出境安全评估等法律义务。 在上述背景下，卫健委根据《网络安全法》等法律法规和《国务院关于印发深化标 准化工作改革方案的通知》、《国务院办公厅关于促进和规范健康医疗大数据应用发展 的指导意见》、《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件， 结合福建、江苏、山东、安徽、贵州五省健康医疗大数据中心试点的经验，研究制定了 《管理办法》，对健康医疗大数据从适用范围、标准管理、安全管理和服务管理等方面 进行规范。 二、 适用范围 健康医疗大数据是国家重要的基础性战略资源，《管理办法》第四条规定“本办法 所称健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关 的数据。”从文义来看， “健康医疗大数据”的定义较为宽泛，既包括具体到人的微观 数据，也包括统计、分析类型的宏观数据。此外，医疗卫生机构日常处理的患者诊疗和 病历信息是应有之义，但该定义似乎也可涵盖药品、医疗器械企业掌握的和患者/试验 对象有关的临床试验数据、不良反应数据、政府和相关机构掌握的人口健康数据、遗传 资源数据等。但上述各类数据在实践中是否按《管理办法》由卫生健康行政部门监管， 或是按其他监管部门（例如药监局）的有关规定进行监管，仍有待观察。 《管理办法》第五条规定“本办法适用于县级以上卫生健康行政部门（含中医药主 管部门，下同）、各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的 管理。”第六条